오픈SSL 진영이 예고한 대로 고위험군에 속하는 2가지 취약점을 해결한 보안업데이트를 배포하기 시작했다.
오픈SSL 사용자들은 자신들의 시스템에 적용된 버전을 확인한 뒤 1.0.2a, 1.0.1m, 1.0.0r, 0.9.8zf 등으로 업데이트 시켜야 한다. 19일(현지시간) 미국 지디넷에 따르면 오픈SSL 1.0.2 버전에 발견된 심각한 취약점은 'ClientHello sigalgs DoS(CVE-2015-0291)'라는 것으로 오픈SSL 1.0.2 버전을 쓰고 있는 서버를 대상으로 서비스거부(DoS) 공격을 유발할 수 있는 것이었다.이와 함께 일명 '프릭(FREAK)'이라고 알려진 취약점(CVE-2015-0204)도 해결했다. 이 취약점은 암호화 기능을 해킹하기 쉽도록 약화시켜 정보를 빼내거나 추가적인 악성코드를 주입할 수 있게 하는 방법을 썼다. 전 세계에서 광범위하게 사용되고 있는 RSA 암호화키를 해독하기 쉬운 수출용 RSA 암호화키로 바꿀 수 있게 한다. 이를 통해 암호화 통신 내역을 도감청하는 일이 가능해진다.
오픈SSL은 1.0.2 버전부터는 이러한 문제를 해결했으며, 다른 버전들을 쓰고 있다고 하더라도 1.0.1k, 1.0.0p, 0.9.8zd 이상 버전으로 업데이트할 것을 요청했다.
보다 자세한 사항은 오픈SSL 공식 홈페이지를 통해 확인할 수 있다.
관련기사
- 오픈SSL 진영, 하트블리드급 새 취약점 해결2015.03.20
- 암호화된 트래픽 관리 어떻게 하나2015.03.20
- 암호화 통신 취약점 '푸들', TLS도 영향권2015.03.20
- 웹사이트 원클릭 무료 암호화 기술 등장2015.03.20
